Fluid 獎勵合約被攻破致約 21.5 萬美元損失

ChainCatcher 消息，据 BlackHart 称，DeFi 項目 Fluid 在以太坊上的獎勵發放機制遭利用，約 21.5 萬美元資產被轉走。Fluid 採用由一把鑰匙發起、另一把鑰匙批准的 Merkle 獎勵名單機制，攻擊者同時掌握兩把運營私鑰，提交僅向自身發放獎勵的名單並批准，隨後用空證明完成領取。

被盜資產來自三個獎勵分發器，包括 112,883 枚 FLUID、47,903 枚 GHO 和少量 cbBTC，後被兌換為 ETH 並通過 Tornado Cash 轉移。Fluid 借貸市場、金庫、DEX 及用戶存款未受影響，團隊在約 10 小時內更換受損密鑰並轉移剩餘獎勵資金，但公開說明僅稱獎勵領取暫停更新，未提及私鑰洩露與損失細節。